Attacchi mirati: Kaspersky rileva gli exploit zero-day nel sistema operativo Windows e in Internet Explorer. L'attore di APT DarkHotel potrebbe essere dietro gli exploit.
Nella tarda primavera del 2020, le tecnologie di rilevamento automatico di Kaspersky hanno impedito un attacco mirato a un'azienda sudcoreana. Esaminando l'attacco più da vicino, i ricercatori di Kaspersky hanno rilevato due vulnerabilità precedentemente sconosciute: un exploit per eseguire codice esterno in Internet Explorer 11 e un exploit Elevation of Privileges (EoP) per ottenere diritti di accesso più elevati nelle versioni correnti di Windows 10. gli exploit sono già stati rilasciati.
Le vulnerabilità zero-day sono bug software precedentemente sconosciuti. Fino a quando non vengono scoperti, gli aggressori possono utilizzarli silenziosamente per attività dannose e causare gravi danni.
Exploit nel sistema operativo Windows
I ricercatori di Kaspersky hanno scoperto due vulnerabilità zero-day durante le indagini su un attacco mirato in Corea. Il primo exploit "use-after-free" per Internet Explorer è in grado di eseguire in remoto codice esterno e ha ricevuto la designazione CVE-2020-1380. Tuttavia, poiché Internet Explorer funziona in un ambiente isolato, gli aggressori necessitavano di diritti aggiuntivi sui dispositivi infetti. Lo hanno ricevuto tramite un secondo exploit nel sistema operativo Windows. L'exploit ha sfruttato una vulnerabilità nel servizio di stampa e ha consentito l'esecuzione di codice arbitrario. L'exploit nel sistema operativo si chiama CVE-2020-0986.
"Gli attacchi reali con vulnerabilità zero-day 'in the wild' attirano sempre molto interesse nella scena della sicurezza informatica", spiega Boris Larin, esperto di sicurezza di Kaspersky. “La scoperta riuscita di tali vulnerabilità mette sotto pressione i fornitori affinché rilascino immediatamente le patch e costringe gli utenti a installare tutti gli aggiornamenti necessari. Ciò che è particolarmente interessante dell'attacco scoperto è che gli exploit precedenti riguardavano principalmente l'ottenimento di privilegi più elevati. Tuttavia, questo caso include un exploit con capacità di esecuzione di codice in modalità remota, che lo rende più pericoloso. Insieme alla capacità di influenzare le ultime build di Windows 10, l'attacco rilevato è davvero una cosa rara di questi tempi. Dovrebbe ricordarci di investire in informazioni sulle minacce superiori e tecnologie di protezione comprovate per rilevare attivamente le ultime minacce zero-day".
C'è il gruppo DarkHotel dietro gli exploit zero-day?
Gli esperti di Kaspersky sospettano che il gruppo DarkHotel possa essere dietro l'attacco, poiché il nuovo exploit presenta alcune somiglianze con i precedenti attacchi effettuati da DarkHotel. Il Kaspersky Threat Intelligence Portal fornisce informazioni dettagliate sugli IoC (indicatori di compromissione) di questo gruppo, inclusi hash di file e server C&C. Le soluzioni Kaspersky rilevano gli exploit come PDM:Exploit.Win32.Generic.
La patch per la vulnerabilità legata ai diritti CVE-2020-0986 è stata rilasciata il 9 giugno 2020, quella per l'esecuzione di codice esterno (CVE-2020-1380) l'11 agosto 2020.
Raccomandazioni di sicurezza di Kaspersky
- Le patch Microsoft dovrebbero essere installate il prima possibile, poiché gli aggressori non possono più sfruttare queste vulnerabilità scoperte.
- I team SOC dovrebbero avere accesso a informazioni aggiornate sulle minacce. Il Kaspersky Threat Intelligence Portal può fungere da sportello unico. Fornisce dati esaurienti sugli attacchi informatici e approfondimenti che Kaspersky ha accumulato in oltre 20 anni.
- Le soluzioni EDR come Kaspersky Endpoint Detection and Response aiutano a rilevare, indagare e risolvere rapidamente gli incidenti degli endpoint.
- Inoltre, le aziende dovrebbero utilizzare soluzioni di sicurezza in grado di rilevare minacce complesse nelle prime fasi a livello di rete, come Kaspersky Anti Targeted Attack Platform.
Ulteriori informazioni su questi exploit recentemente scoperti sono disponibili come rapporto in inglese.
Ulteriori informazioni su SecureList su Kaspersky.com
A proposito di Kaspersky Kaspersky è una società internazionale di sicurezza informatica fondata nel 1997. La profonda competenza in materia di sicurezza e intelligence sulle minacce di Kaspersky funge da base per soluzioni e servizi di sicurezza innovativi per proteggere aziende, infrastrutture critiche, governi e consumatori in tutto il mondo. L'ampio portafoglio di sicurezza dell'azienda comprende la protezione degli endpoint leader e una gamma di soluzioni e servizi di sicurezza specializzati per difendersi da minacce informatiche complesse e in continua evoluzione. Oltre 400 milioni di utenti e 250.000 clienti aziendali sono protetti dalle tecnologie Kaspersky. Maggiori informazioni su Kaspersky su www.kaspersky.com/